Viele Unternehmen nutzen KI-Tools bereits im Alltag – aber kaum jemand hat sich gefragt, was mit den eingegebenen Daten eigentlich passiert. Und seit Februar 2025 ist das keine theoretische Frage mehr.
Stellen Sie sich vor: Ein Mitarbeiter bereitet ein Angebot vor und gibt Kundendaten, Projektdetails und interne Kalkulationen in ein KI-Tool ein – weil es schneller geht. Das Ergebnis ist gut. Aber was ist gerade passiert?
Diese Situation passiert täglich in tausenden deutschen Unternehmen. Und sie ist in vielen Fällen ein Datenschutzproblem – eines, das sich leicht vermeiden lässt, wenn man weiß, worauf es ankommt.
Was passiert mit Ihren Daten?
Die meisten kostenlosen KI-Tools sind für den Unternehmenseinsatz mit personenbezogenen Daten nicht DSGVO-konform nutzbar. Der Grund: Anbieter können Ihre Eingaben standardmäßig zum Training ihrer Modelle verwenden, und die Daten werden häufig auf Servern außerhalb der EU gespeichert – was nach der DSGVO eine Drittlandübermittlung darstellt und besondere Anforderungen stellt.
Was viele nicht wissen: Dieses Problem gilt grundsätzlich für alle Cloud-basierten KI-Tools, bei denen kein gesonderter Vertrag mit dem Anbieter abgeschlossen wurde.
Mitarbeiter, die private KI-Accounts für berufliche Zwecke nutzen, schaffen ein erhebliches Compliance-Risiko – oft ohne es zu wissen. Dieses Phänomen wird als „Shadow AI“ bezeichnet und ist einer der häufigsten Datenschutzverstöße im Mittelstand.
Was seit Februar 2025 neu gilt
Seit dem 2. Februar 2025 gelten die ersten Bestimmungen der EU-KI-Verordnung (EU AI Act). Damit ist Datenschutz bei KI keine freiwillige Sache mehr – es ist gesetzliche Pflicht.
Eine der wichtigsten neuen Anforderungen steht in Artikel 4 EU AI Act:
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.“
Im Klartext: Unternehmen müssen ihre Mitarbeiter schulen – und das dokumentieren. Eine kurze Einweisung reicht nicht aus.
DSGVO + EU AI Act greifen beim KI-Einsatz ineinander. Verstöße können nach DSGVO mit bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro geahndet werden – je nachdem, welcher Betrag höher ist. (Quelle: Bitkom Praxisleitfaden KI & Datenschutz 2025)
Welche Daten sind besonders kritisch?
Nicht jede Eingabe in ein KI-Tool ist automatisch problematisch. Es kommt darauf an, was eingegeben wird. Folgende Datenkategorien sollten grundsätzlich nicht in Cloud-KI-Tools eingegeben werden:
- Personenbezogene Daten – Namen, Adressen, E-Mail-Adressen, Telefonnummern von Kunden oder Mitarbeitern
- Gesundheitsdaten – z. B. Krankheitstage, ärztliche Atteste, Behinderungen
- Finanzdaten – Kontonummern, interne Kalkulationen, Angebotssummen mit Kundenbezug
- Vertragsdaten – Verträge, Konditionen, geheimhaltungspflichtige Vereinbarungen
- Mitarbeiterdaten – Gehälter, Leistungsbeurteilungen, Bewerbungsunterlagen
Das Bitkom hat in seinem Praxisleitfaden „KI & Datenschutz“ (2025) klar empfohlen, vor dem Einsatz eines KI-Tools eine Datenschutz-Folgenabschätzung durchzuführen. Art. 35 Abs. 1 DSGVO schreibt dazu vor:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Konkrete Regeln für den Unternehmensalltag
Datenschutzkonforme KI-Nutzung ist kein Hexenwerk – aber sie braucht klare Regeln. Hier ein praktikabler Rahmen für den Einstieg:
- Keine echten Namen, keine echten Zahlen. Arbeiten Sie mit anonymisierten oder pseudonymisierten Beispielen, wenn Sie KI für Texte oder Analysen nutzen.
- Enterprise-Version nutzen, wenn nötig. Wer mit personenbezogenen Daten arbeiten muss, braucht einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Viele KI-Anbieter bieten Business- oder Enterprise-Tarife mit AVV an – die kostenlosen Versionen in der Regel nicht.
- Interne Nutzungsrichtlinie erstellen. Legen Sie schriftlich fest, was erlaubt ist – und was nicht. Das schützt auch Sie als Unternehmer.
- Mitarbeiter schulen. Seit Februar 2025 durch Art. 4 EU AI Act gesetzlich verpflichtend. Es muss nachweisbares KI-Kompetenz-Niveau vorhanden sein.
- Lokale Alternativen prüfen. Für besonders sensible Bereiche gibt es KI-Modelle, die lokal auf dem eigenen Server laufen – ohne Datenweitergabe.
Datenschutz ist kein KI-Feind
Der häufigste Fehler im Umgang mit diesem Thema: Datenschutz wird als Bremse gesehen. Als Argument gegen KI. Das ist falsch.
Datenschutz ist ein Gestaltungsauftrag. Er zwingt Unternehmen dazu, klar zu definieren, welche Daten sie haben, wo sie liegen und wer damit arbeitet. Das ist genau die Struktur, die für einen erfolgreichen KI-Einsatz ohnehin gebraucht wird.
Wer den Datenschutz ernst nimmt, legt gleichzeitig das Fundament für eine nachhaltige KI-Strategie. Beides gehört zusammen.
Fazit
KI und Datenschutz sind kein Widerspruch – aber sie brauchen Regeln. Die kostenlose Nutzung von KI-Tools mit Unternehmensdaten ist in den meisten Fällen nicht DSGVO-konform. Seit Februar 2025 ist das auch rechtlich bindend geregelt. Wer jetzt handelt, ist auf der sicheren Seite.
„Nicht das Tool entscheidet, ob KI sicher ist. Sondern die Regeln, die Sie vorher festlegen.“
KI-Potenzial in Ihrem Unternehmen entdecken
Im KI-Potenzial-Workshop analysiere ich gemeinsam mit Ihnen, welche Prozesse in Ihrem Unternehmen KI-geeignet sind – und wie Sie dabei sicher und DSGVO-konform vorgehen. Ohne Fachjargon, ohne Risiko.
Erstgespräch vereinbarenQuellen
- Bitkom e.V.: Praxisleitfaden „KI & Datenschutz“, Auflage 2.0, 2025
- EU AI Act, Art. 4 – KI-Kompetenz (artificialintelligenceact.eu)
- DSGVO, Art. 35 – Datenschutz-Folgenabschätzung (dsgvo-gesetz.de)
- eRecht24: „KI-Systeme – Recht & Datenschutz für Unternehmen“
- IHK München: „Datenschutz und Künstliche Intelligenz – darauf müssen Sie achten“
- ki-anker.de: „KI und Datenschutz – Was Unternehmen 2025 beachten müssen“
